Servicios de dominio de Active Directory de Skype Empresarial Server
Servicios de dominio de Active Directory funciona como servicio de directorio para redes de Windows Server 2003, Windows Server 2008, Windows Server 2012 y Windows Server 2012 R2. Servicios de dominio de Active Directory también sirve como base sobre la que se construye la infraestructura de seguridad Skype Empresarial Server. El propósito de esta sección es describir cómo Skype Empresarial Server usa Servicios de dominio de Active Directory para crear un entorno de confianza para mensajería instantánea, conferencias web, medios y voz. Para obtener más información sobre cómo preparar el entorno para Servicios de dominio de Active Directory, vea Instalar Skype Empresarial Server en la documentación de implementación. Para obtener más información sobre el rol de Servicios de dominio de Active Directory en las redes de Windows Server, consulta la documentación de la versión del sistema operativo que estás usando.
Skype Empresarial Server usa Servicios de dominio de Active Directory para almacenar:
Configuración global que requieren todos los servidores que ejecutan Skype Empresarial Server en un bosque.
Información de servicio que identifica los roles de todos los servidores que ejecutan Skype Empresarial Server en un bosque.
Algunas configuraciones de usuario.
Infraestructura de Active Directory
Entre los requisitos de infraestructura para Active Directory se incluyen los siguientes:
Requisitos del sistema operativo para los controladores de dominio
Requisitos del nivel funcional de dominio y bosque
Requisitos del dominio del catálogo global
Para obtener más información, consulte Requisitos ambientales para Skype Empresarial Server 2015 o Requisitos del servidor para Skype Empresarial Server 2019.
Grupos universales
Durante la preparación del bosque, Skype Empresarial Server crea varios grupos universales dentro de Servicios de dominio de Active Directory que tienen permiso para acceder y administrar la configuración global y los servicios. Entre estos grupos universales se incluyen:
Grupos administrativos. Estos grupos definen los roles de administrador fundamentales para una red Skype Empresarial Server. Durante la preparación del bosque, estos grupos de administradores se agregan a Skype Empresarial Server grupos de infraestructura.
Grupos de servicio. Estos grupos son cuentas de servicio necesarias para acceder a varios servicios proporcionados por Skype Empresarial Server.
Grupos de infraestructura. Estos grupos proporcionan permiso para acceder a áreas específicas de la infraestructura de Skype Empresarial Server. Funcionan como componentes de los grupos administrativos y no deben modificarse ni se deben agregar directamente usuarios a esos grupos. Durante la preparación del bosque, se añaden grupos de servicio y administración específicos a los grupos de infraestructura correspondientes.
Para obtener más información sobre los grupos universales específicos creados al preparar AD para Skype Empresarial Server, así como los grupos de servicio y administración que se agregan a los grupos de infraestructura, vea Cambios realizados por la preparación del bosque en Skype Empresarial Server en la documentación de implementación.
Nota
Skype Empresarial Server admite los grupos universales de Windows Server 2012, así como los sistemas operativos Windows Server 2003 para controladores de dominio. Los miembros de grupos universales pueden incluir otros grupos y cuentas de cualquier dominio en el árbol de dominio o bosque, y se les pueden asignar permisos en cualquier dominio en el árbol de dominio o bosque. El soporte técnico de grupo universal, combinado con la delegación del administrador, simplifica la administración de una implementación de Skype Empresarial Server. Por ejemplo, no es necesario agregar un dominio a otro para que un administrador pueda administrar ambos.
Control de acceso basado en roles
Además de crear grupos universales de servicio y administración y añadir grupos de servicio y administración a los grupos universales correspondientes, la preparación del bosque también crea grupos de control de acceso basado en roles (RBAC). Para obtener más información sobre los grupos RBAC específicos creados por la preparación del bosque, consulte Changes made by forest preparation in Skype for Business Server en la documentación sobre implementación. Para obtener más información sobre los grupos RBAC, vea Control de acceso basado en roles (RBAC) para Skype Empresarial Server.
Entradas de control de acceso (ACE) y herencia
La preparación del bosque crea ACE privadas y públicas, y añade ACE en los grupos universales que crea. Crea CA privadas específicas en el contenedor de configuración global usado por Skype Empresarial Server. Este contenedor solo lo usa Skype Empresarial Server y se encuentra en el contenedor Configuration o en el contenedor System del dominio raíz, dependiendo de dónde almacene la configuración global.
El paso de preparación del dominio agrega las entradas de control de acceso (ACE) necesarias a los grupos universales que conceden permisos para hospedar y administrar los usuarios dentro del dominio. La preparación del dominio crea entradas ACE en la raíz del dominio y tres contenedores integrados: usuarios, equipos y controladores de dominio.
Para obtener más información sobre las CCO públicas creadas y agregadas por la preparación del bosque y la preparación del dominio, vea Cambios realizados por la preparación forestal en Skype Empresarial Server y Cambios realizados por la preparación del dominio en Skype Empresarial Server en la documentación de implementación.
Las organizaciones a menudo bloquean Servicios de dominio de Active Directory (AD DS) para ayudar a mitigar los riesgos de seguridad. Sin embargo, un entorno de Active Directory bloqueado puede limitar los permisos que Skype Empresarial Server requiere. Puede incluir la eliminación de ACE de contenedores y unidades organizativas y la deshabilitación de la herencia de permisos en los objetos User, Contact, InetOrgPerson o Computer. En un entorno de Active Directory bloqueado, los permisos deben establecerse manualmente en contenedores y OU que los requieran.
Información sobre el servidor
Durante la activación, Skype Empresarial Server publica información del servidor en las tres siguientes ubicaciones de Servicios de dominio de Active Directory:
Un punto de conexión de servicio (SCP) en cada objeto de equipo de Active Directory correspondiente a un equipo físico en el que está instalado Skype Empresarial Server.
Objetos de servidor creados en el contenedor de la clase msRTCSIP-Pools.
Servidores de confianza especificados en el Generador de topologías.
Puntos de conexión de servicio
Cada Skype Empresarial Server objeto de Servicios de dominio de Active Directory tiene un SCP llamado Servicios RTC, que a su vez contiene una serie de atributos que identifican cada equipo y especifican los servicios que proporciona. Entre los atributos SCP más importantes se encuentran serviceDNSName , serviceDNSNameType , serviceClassname y serviceBindingInformation . Las aplicaciones de administración de activos de otro fabricante pueden recuperar la información de servidor de una implementación consultando estos y otros atributos de los SCP.
Objetos de Active Directory Server
Cada Skype Empresarial Server rol de servidor tiene un objeto de Active Directory correspondiente cuyos atributos definen los servicios proporcionados por ese rol. Además, cuando se activa un servidor Standard Edition o cuando se crea un grupo de Enterprise Edition, Skype Empresarial Server crea un nuevo objeto msRTCSIP-Pool en el contenedor msRTCSIP-Pools. La clase msRTCSIP-Pool especifica el nombre de dominio completo (FQDN) del grupo, junto con la asociación entre los componentes front-end y back-end del grupo de servidores. (Un servidor Standard Edition se considera un grupo lógico cuyos extremos delantero y trasero están col asignados en un único equipo).
Servidores de confianza
En Skype Empresarial Server, los servidores de confianza son los que se especifican al ejecutar el Generador de topologías y publicar la topología. La topología publicada, incluida toda la información del servidor, se almacena en el almacén de administración central. Solo los servidores definidos en el almacén de administración central son de confianza. En Skype Empresarial Server, un servidor de confianza es aquel que cumple los siguientes criterios:
El FQDN del servidor se produce en la topología almacenada en el almacén de administración central.
El servidor presenta un certificado válido de una CA de confianza. Para obtener más información, consulte Requisitos ambientales para Skype Empresarial Server 2015 o Requisitos del sistema para Skype Empresarial Server 2019.
Si no se cumple alguno de estos criterios, el servidor no se considera de confianza y se rechaza la conexión con dicho servidor. Este requisito doble impide un posible ataque, si es poco probable, en el que un servidor fraudulento intenta hacerse cargo del FQDN de un servidor válido.
Además, para habilitar las implementaciones de Microsoft Office Communications Server 2007 R2 y Microsoft Office Communications Server 2007 para comunicarse con servidores de Skype Empresarial Server, Skype Empresarial Server crea contenedores durante la preparación del bosque para la celebración de listas de servidores de confianza para versiones anteriores. La siguiente tabla describe los contenedores creados para habilitar la compatibilidad con implementaciones anteriores.
Listas de servidor de confianza y sus contenedores de Active Directory para la compatibilidad con versiones anteriores
| Listas de servidores de confianza | Contenedor de Active Directory |
|---|---|
| Servidores de Standard Edition y servidores front-end del grupo Enterprise Edition |
Servicio RTC/Configuración global |
| Servidores de conferencia |
Servicio RTC/MCU de confianza |
| Servidores de componentes web |
Servicio RTC/Servidores de componentes web de confianza |
| Servidores de mediación y servidores de Communicator Web Access, Servidor de aplicaciones, Registrador con QoE, Servicio de conferencia A/V (también servidores SIP de otros fabricantes) |
Servicio RTC/Servicios de confianza |
| Servidores proxy |
Skype Empresarial Server no admite la compatibilidad con versiones anteriores para servidores proxy |